Cato ডেটাকে Splunk এর সাথে ইন্টিগ্রেট করা

সারসংক্ষেপ

Cato নেটওয়ার্ক এবং নিরাপত্তা ডেটা আপনার বিদ্যমান মনিটরিং, সম্পর্কন, এবং তদন্ত ওয়ার্কফ্লোগুলিতেও অন্তর্ভুক্ত করতে Splunk ইন্টিগ্রেশন ব্যবহার করুন। নেটিভ ইন্টিগ্রেশন Cato থেকে Splunk এ সরাসরি ডেটা পাঠায়, যা আপনাকে এক কেন্দ্রিক প্ল্যাটফর্মে অন্যান্য সোর্স থেকে আসা ডেটার পাশাপাশি Cato কার্যকলাপ বিশ্লেষণ করার অনুমতি দেয়। এটি আপনাকে ড্যাশবোর্ড, অনুসন্ধান, সতর্কতা, এবং রিপোর্ট তৈরি করতে সাহায্য করে, অতিরিক্ত ডেটা সংগ্রহ প্রক্রিয়া প্রয়োজন ছাড়াই।

Catoes একটি কাস্টম গিটহাব ইন্টিগ্রেশনও অফার করে Cato গিটহাব রিপোজিটরি থেকে। আরও তথ্যের জন্য, নীচের নেটিভ Turnkey এবং কাস্টম গিটহাব ইন্টিগ্রেশন পদ্ধতি নির্বাচন দেখুন।

Splunk ডেটা উৎসসমূহ 

Splunk ইন্টিগ্রেশন দুটি ডেটা উৎসকে সমর্থন করে:

  • ইভেন্ট - নেটওয়ার্ক বা সিস্টেমে নির্দিষ্ট কার্যকলাপ সংঘটিত হলে তৈরি হয়, যেমন নীতি নিয়ম মিলা বা হুমকি সনাক্ত হওয়া। এই রেকর্ডগুলি নিরাপত্তা এবং নীতি প্রয়োগের উপর সুনির্দিষ্ট, বাস্তব-সময়ের অন্তর্দৃষ্টি প্রদান করে। ডেটা পাঠানো হচ্ছে Cato এর ইভেন্ট স্কিমা ব্যবহার করে।

  • প্রবাহ - নেটওয়ার্ক প্রবাহ (5-টাপল) হিসেবে শুরু হয় এবং Cato ইঞ্জিন থেকে অ্যাপ্লিকেশন স্তরে তথ্য পাওয়া গেলে সমৃদ্ধ হয়। অ্যাপ্লিকেশন এবং ব্যবহারকারী প্রেক্ষাপটের পাশাপাশি, প্রবাহে ক্ষণিকের ডেটা যেমন বাইট, প্যাকেট এবং সময়কাল অন্তর্ভুক্ত থাকে, যা সময়ের সাথে নেটওয়ার্ক কার্যকলাপের একটি পূর্ণাঙ্গ দৃশ্য প্রদান করে। প্রবাহ ক্ষেত্রগুলির সুপারসেটটি appStats স্কিমা দ্বারা উপস্থাপিত হয়।

    কিছু ক্ষেত্র শুধুমাত্র স্বদেশী ইন্টিগ্রেশনের মাধ্যমে প্রবাহিত প্রবাহের জন্য উপলব্ধ এবং তা appStats বা অ্যাপ্লিকেশন বিশ্লেষণের অংশ নয়। উদাহরণস্বরূপ, flow_id এবং সংগ্রহ করা মেট্রিক যেমন আপস্ট্রিম ও ডাউনস্ট্রিম প্যাকেট ও বাইট, এবং প্রবাহ সময়কাল। এই ক্ষেত্রগুলি নিম্নলিখিত মন্তব্য দিয়ে চিহ্নিত করা হয়েছে:

    প্রাকৃতিক প্রবাহের ডেটা ইন্টিগ্রেশন শুধুমাত্র CMA-তে তৈরি করা হয়েছে।

ডিফল্টরূপে, নতুন ইন্টিগ্রেশন শুধুমাত্র ইভেন্ট রপ্তানি করে। প্রবাহ ডেটা উৎস, ইভেন্টের তুলনায় উল্লেখযোগ্যভাবে উচ্চতর ভলিউম এ ডেটা তৈরি করতে পারে। আপনার ট্রাফিকের উপর নির্ভুল পরিমাণ নির্ভর করে। CMA একাধিক ইন্টিগ্রেশন কনফিগার করা সমর্থন করে, আপনাকে প্রয়োজন অনুযায়ী বিভিন্ন ডেটা উত্স পাঠানোর অনুমতি দেয়। ফিল্টারিং শুধুমাত্র ইভেন্টের জন্য সমর্থিত।

ব্যবহার কেস

ইভেন্ট

Sample Company Splunk কেন্দ্রিক নিরাপত্তা মনিটরিং এবং প্রতিক্রিয়ার জন্য ব্যবহার করে। একজন Cato গ্রাহক হিসেবে, তাদের কাছে নেটওয়ার্ক কার্যকলাপ, হুমকি, ব্যবহারকারীর তথ্য, ডিভাইস এবং Cato প্ল্যাটফর্মে প্রবাহিত সমস্ত ট্র্যাফিকের মতো মূল বৈশিষ্ট্য থেকে উপযোগী ডেটা রয়েছে। এই ইন্টিগ্রেশনটি ব্যবহার করে তারা এই ডেটাকে সরাসরি Splunk এ পাঠাতে পারে, যেখানে তারা SOC এবং NOC দলগুলির জন্য বিদ্যমান কার্যপ্রবাহে সহজেই এটি একত্রিত করতে পারে।

প্রবাহ

Splunk-এ একটি নিরাপত্তা বিশ্লেষক একটি সন্দেহজনক ঘটনা চিহ্নিত করেছেন যেখানে একটি ব্যবহারকারী উচ্চ ঝুঁকির অ্যাপ্লিকেশনটি অ্যাক্সেস করেছেন যা ডেটা এক্সফিল্ট্রেশনের সাথে যুক্ত হতে পারে। Cato ইভেন্টগুলি ব্যবহার করে, বিশ্লেষক নীতি সিদ্ধান্ত, ব্যবহারকারী পরিচিতি এবং অ্যাপ্লিকেশন দেখতে পারেন। যাইহোক, ঘটনাটি দেখায় না কত ডেটা স্থানান্তরিত হয়েছে বা সেশন কতক্ষণ স্থায়ী হয়েছে।

প্রবাহ_id ক্ষেত্রের মাধ্যমে ইভেন্টে সম্পর্কিত সংগ্রহিত ট্রাফিক প্রবাহের ডেটা সহ বিশ্লেষক পূর্ণ সেশন প্রেক্ষাপট দেখতে পারেন, মোট স্থানান্তরিত বাইট, প্যাকেট সংখ্যা এবং সেশন সময়কাল অন্তর্ভুক্ত করে। এটি বিশ্লেষককে নির্ধারণ করতে সহায়তা করে যে কার্যকলাপটি সামান্য মিথস্ক্রিয়া ছিল বা বড় ডেটা স্থানান্তর যা এক্সফিল্ট্রেশন নির্দেশ করতে পারে।

ইভেন্ট এবং প্রবাহের ডেটা একত্রিত করে, বিশ্লেষক দ্রুত ঘটনার গুরুত্ব যাচাই করতে এবং যথাযথ পদক্ষেপ নিতে পারেন।

Prerequisites

  • একটি কানেক্টর যোগ করতে, আপনাকে ইন্টিগ্রেশন এর সম্পাদন অনুমতি থাকতে হবে (সম্পদ বিভাগে)। আরও তথ্যের জন্য দেখুন RBAC ব্যবহার করে অ্যাডমিন ভূমিকা পরিচালনা
  • Splunk URL এবং পোর্ট হল আপনার অ্যাকাউন্টে অ্যাক্সেস করার জন্য HEC এন্ডপয়েন্ট। সাধারণত, এটি ওয়েব URL আপনি Splunk অ্যাক্সেস করার জন্য ব্যবহার করেন যার শুরুতে "http-inputs-" অক্ষর যোগ করা আছে। উদাহরণস্বরূপ, যদি আপনার অ্যাকাউন্ট http://mydomain.splunk.com, তাহলে আপনি https://http-inputs-mydomain.splunkcloud.com/ ব্যবহার করবেন। আরও তথ্যের জন্য, Splunk ডকুমেন্টেশন দেখুন। পোর্ট ঐচ্ছিক এবং আপনি যদি অন্য কিছু নির্দিষ্ট না করেন, আমরা 443 ব্যবহার করি (এটি Splunk ক্লাউডের ডিফল্ট)।
  • "Getting Started with Event Integrations" এ সব Cato ইভেন্ট ইন্টিগ্রেশনের পূর্বশর্তনা পর্যালোচনা করুন।

Splunk ইন্টিগ্রেশন তৈরি করা হচ্ছে

একটি নতুন Splunk ইন্টিগ্রেশন যোগ করুন Cato ইভেন্ট এবং প্রবাহ Splunk HTTP ইভেন্ট সংকলক (HEC) এন্ডপয়েন্টে পাঠাতে। ইন্টিগ্রেশন সেট আপ করতে, Splunk এ একটি HEC টোকেন তৈরি করুন, CMA তে নতুন Splunk ইন্টিগ্রেশন তৈরি করুন এবং ingestion URL এবং API কী প্রবেশ করান।

কনফিগারেশন প্রোসেসে, আপনি ইভেন্ট, প্রবাহ বা উভয়কে অন্তর্ভুক্ত করার বিষয়ে কনফিগার করতে পারেন। ডিফল্টরূপে শুধুমাত্র ইভেন্ট রপ্তানি করা হয়। প্রবাহের ডেটা উৎস তুলনায় ইভেন্টগুলির তুলনায় উল্লেখযোগ্যভাবে উচ্চতর ডেটা তৈরি করতে পারে। সঠিক ভলিউম আপনার ট্রাফিকের উপর নির্ভর করে। CMA একাধিক ইন্টিগ্রেশন কনফিগার করার সমর্থন করে, যা আপনাকে প্রয়োজন অনুযায়ী বিভিন্ন ডেটা উৎস পাঠানোর অনুমতি দেয়।

নোট:

  • Splunk Enterprise (স্বয়ংশাসিত) ইন্টিগ্রেশনের জন্য:

    • Splunk HEC এন্ডপয়েন্ট ইন্টারনেটের মাধ্যমে প্রবেশযোগ্য হতে হবে (অর্থাৎ, একটি পাবলিক IP ঠিকানা বা পাবলিক DNS নামে উন্মুক্ত)। ব্যক্তিগত আইপিএস বা শুধুমাত্র অভ্যন্তরীণ এন্ডপয়েন্ট সমর্থিত নয়।
    • TLS পরিদর্শন সক্রিয় থাকতে হবে, এবং এন্ডপয়েন্ট একটি বিশ্বাসযোগ্য জনসাধারণ সার্টিফিকেট অথোরিটি দ্বারা প্রকাশিত বৈধ X.509 সার্টিফিকেট প্রদর্শন করতে হবে। আপন-স্বাক্ষরিত অথবা ব্যক্তিগতভাবে প্রদত্ত CA সার্টিফিকেট সমর্থিত নয়, কারণ সংযোগগুলো শুধুমাত্র স্ট্যান্ডার্ড CA বিশ্বাসের শৃঙ্খলা ব্যবহার করে যাচাই করা হয়।
  • CMA-তে ইন্টিগ্রেশনটি মুছে ফেললে Splunk এ তৈরি করা কোনো সম্পদ অপসারণ হয় না।

ফিল্টার

যেমন Cato ইভেন্টগুলি Splunk এ রপ্তানি হবে তা নিয়ন্ত্রণ করতে ফিল্টার ব্যবহার করুন। এটি ingestion খরচ কমাতে সাহায্য করে, শব্দ কমায়, এবং নির্দিষ্ট সাইট, ব্যবহারকারী, বা অঞ্চলের সাথে সর্বাধিক প্রাসঙ্গিক ইভেন্টের প্রতি তদন্তে ফোকাস করে। আপনি ফিল্টার ব্যবহার করে বিভিন্ন উপসেটের ইভেন্টগুলি বিভিন্ন SIEM পরিবেশে রাউট করতে পারেন।

যে কোনো ইভেন্ট ক্ষেত্র বা ক্ষেত্রের সমন্বয়ের ভিত্তিতে ফিল্টার সংজ্ঞায়িত করতে ফিল্টার গ্রুপ ব্যবহার করুন। প্রতিটি গ্রুপের মধ্যে শর্তগুলি AND যুক্তি ব্যবহার করে। গ্রুপগুলির মধ্যে OR যুক্তি প্রয়োগ করা হয়। স্ক্রিনশটের ফিল্টারগুলি ইন্টিগ্রেশন চালনা করতে কনফিগার করা হয়:

  • যে ইভেন্টগুলি প্যারিস বা মাদ্রিদ থেকে উৎপন্ন হয়, সাব-টাইপ ইন্টারনেট ফায়ারওয়াল হিসেবে এবং মনিটর বা প্রম্পট ছাড়া অন্যান্য ক্রিয়াকলাপের ফলাফল থাকে।
  • ব্যবহারকারীর নাম অন্তর্ভুক্ত করে Test

Splunk ইন্টিগ্রেশন তৈরি করতে:

  1. আপনার Splunk অ্যাকাউন্টে, এই ইন্টিগ্রেশনের জন্য এক নতুন টোকেন তৈরি করুন। বিস্তারিত জানতে, দেখুন Splunk ডকুমেন্টেশন। আপনি টোকেনের জন্য একটি কাস্টম সূচক নির্ধারণ করতে পারেন বা ডিফল্ট সূচক ব্যবহার করতে পারেন।
  2. দেখানো টোকেন মানটি কপি করুন। আপনাকে Cato এর সাথে ইন্টিগ্রেশন কনফিগার করার জন্য এটি প্রয়োজন।
  3. নেভিগেশন মেনু থেকে সম্পদসমূহ > ইন্টিগ্রেশন নির্বাচন করুন।
  4. কনফিগার্ড ইন্টিগ্রেশন ট্যাবে, নতুন ক্লিক করুন। নতুন ইন্টিগ্রেশন প্যানেলটি খুলবে।

  5. নির্বাচন করুন Splunk এবং নিম্নলিখিত ক্ষেত্রগুলি কনফিগার করুন:

    1. Auth dropdown এ, API Key নির্বাচন করুন।
    2. একটি কানেক্টর নাম এবং ঐচ্ছিক বিবরণ এন্টার করুন এই ইন্টিগ্রেশনের জন্য।
    3. Splunk এ আপনি তৈরি করা ইনজেশন URL এবং API Key এন্টার করুন।
    4. সূচক নির্দিষ্ট করুন যা Cato থেকে ডেটা পায়। যদি এটি ফাঁকা রাখেন, Cato HEC টোকেনে নির্ধারিত ডিফল্ট সূচক ব্যবহার করে।
    5. ইভেন্ট, প্রবাহ, বা উভয় ইন্টিগ্রেট করা হবে কিনা তা নির্ধারণ করুন।
    6. ঐচ্ছিক: Cato যে ইভেন্টগুলি Splunk এ পাঠায় তা নিয়ন্ত্রণ করতে ফিল্টার যোগ করুন।
      নোট: ফিল্টার শুধুমাত্র ইভেন্ট ডেটার জন্য প্রযোজ্য।
    7. যখন ইন্টিগ্রেশন ত্রুটি ঘটে, একটি ইভেন্ট তৈরি করতে হলে তা নির্দিষ্ট করুন।
  6. সংরক্ষণ করুন এ ক্লিক করুন।
  7. CMA তে, ইন্টিগ্রেশন পাতা রিফ্রেশ করুন। ইন্টিগ্রেশনের স্ট্যাটাস ইন্টিগ্রেটেড অ্যাপস ট্যাবে উপস্থিত হয়।

জন্মগত টার্নকি এবং কাস্টম গিটহাব ইন্টিগ্রেশন পদ্ধতিগুলির মধ্যে নির্বাচন করা

এই লেখায় বর্ণিত জন্মগত টার্নকি ইন্টিগ্রেশনের বাইরে, আপনি Cato এর GitHub অ্যাকাউন্ট এর সরঞ্জামগুলি ব্যবহার করে Cato ইভেন্টগুলি Splunk এর সাথে একত্রিত করতে পারেন। প্রতিটি পন্থা আপনার লক্ষ্য এবং পরিবেশের উপর নির্ভর করে স্বতন্ত্র সুবিধা প্রদান করে। আপনাকে উভয় ইন্টিগ্রেশনের প্রয়োজন হলে উভয়ই ব্যবহার করতে পারেন।

যখন জন্মগত ইন্টিগ্রেশন ব্যবহার করবেন

Cato এর জন্মগত ইন্টিগ্রেশনটি একটি স্কেলযোগ্য এবং সাপোর্টযোগ্য সমাধান প্রদান করে מינিমাল কনফিগারেশন দিয়ে। জন্মগত ইন্টিগ্রেশনের সুবিধাগুলি অন্তর্ভুক্ত:

  • বড় ভলিউমের ইভেন্টগুলি দক্ষভাবে পরিচালনা করে কোন এপিআই-ভিত্তিক সীমাবদ্ধতা ছাড়াই
  • Cato দ্বারা পুরোপুরি রক্ষণাবেক্ষণ এবং সমর্থিত হয়
  • Splunk এ পাঠানো ডেটা সুন্দরভাবে ঠিকঠাক করার জন্য ফিল্টার সহায়তা করে

যখন গিটহাব ইন্টিগ্রেশন ব্যবহার করবেন

গিটহাব ইন্টিগ্রেশন উন্নত ব্যবহার কেসগুলির জন্য নমনীয়তা প্রদান করে যেখানে কাস্টম ডেটা উৎস বা প্রক্রিয়াকরণ লজিক প্রয়োজন। এই ইন্টিগ্রেশনটি ব্যবহার করতে চান নিম্নলিখিত পরিস্থিতিতে:

  • Cato এর অডিট লগ থেকে ডেটা Splunk এ পাঠাতে চান
  • আপনি Cato গিটহাব রিপোজিটরি ব্যবহার করতে চান একটি ওপেন উৎস হিসাবে ইন্টিগ্রেশন কাস্টমাইজ করতে

জানা সীমাবদ্ধতা

  • বৃহৎ ইভেন্ট সীমাবদ্ধতা: ঘটনাস্থল তথ্য Splunk এ পাঠানোর সময় সংকুচিত হতে পারে যদি raw_data ক্ষেত্র (যা গল্প তথ্য অন্তর্ভুক্ত করে) 5 MB আকারের বেশি হয় (এটি Splunk এর ডিফল্ট, কিন্তু এটি বৃদ্ধি করা যেতে পারে)।

এই নিবন্ধটি কি সহায়ক ছিল?

0 জনের মধ্যে 0 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য